http://community.365managed.com/?document_srl=10278
IceSword
윈도우 루트킷을 쉽고 빠르게 찾아낼수 있는 프로그램
http://www.antirootkit.com/software/IceSword.htm
IceSword 이외에도 윈도우즈에서 사용가능한 다양한 프로그램들
http://www.microsoft.com/technet/sysinternals/Security
관리자가 직접 백도어 파일이나 악성 스크립트 파일을 찾아내는 방법
1) 프로세스 검사
: Task Manager, Procexp 등을 이용하여 제거할 수 없는 프로세스 제거가능
2) 포트
: ActivePort등의 툴과 같은 현재 open 되어있는 포트 및 Listen 포트 확인 가능
3) Kernel
: 시스템에 추가한 PE 모듈 및 추가된 부팅부분 확인 가능
4) Startup
: Windows 부팅 그룹에 등록되어 있는 프로세스 리스트 확인 가능
( 시작프로그램 관리 기능 ) -> 단, 삭제기능은 없음
5) Services
: 시스템상에 숨겨져 있는 서비스까지 검출가능 ( 적색으로 표시됨 )
=> 정지 및 사용금지 적용가능
6) SPI, BHO
: dll과 연관되어 서비스 인터페이스를 제공하는데, 네트워크 조작등의 인터페이스도 연관
되어 있다. ( 해당 내용에관한 지식이 부족하다면 손대지 않는것이 좋습니다. )
7) SSDT (System Service Descriptor Table)
: 시스템의 서비스 함수를 수정한 기록이 적색으로 표시된다.
=> 적색으로 리스팅 되더라도 정상적인 프로그램이 있으므로, 조치를 취할때는 신중하게
조치를 취하셔야 합니다. ( 백신 프로그램 및 보안프로그램도 적색으로 표시됨 )
8) Message Hook
: 키보드 및 마우스 입력값 표시 -> 검사만 가능
** 우선 가장 기본적으로 MBSA 는 써 보셔야 겠죠..;;
IceSword
윈도우 루트킷을 쉽고 빠르게 찾아낼수 있는 프로그램
http://www.antirootkit.com/software/IceSword.htm
IceSword 이외에도 윈도우즈에서 사용가능한 다양한 프로그램들
http://www.microsoft.com/technet/sysinternals/Security
관리자가 직접 백도어 파일이나 악성 스크립트 파일을 찾아내는 방법
1) 프로세스 검사
: Task Manager, Procexp 등을 이용하여 제거할 수 없는 프로세스 제거가능
2) 포트
: ActivePort등의 툴과 같은 현재 open 되어있는 포트 및 Listen 포트 확인 가능
3) Kernel
: 시스템에 추가한 PE 모듈 및 추가된 부팅부분 확인 가능
4) Startup
: Windows 부팅 그룹에 등록되어 있는 프로세스 리스트 확인 가능
( 시작프로그램 관리 기능 ) -> 단, 삭제기능은 없음
5) Services
: 시스템상에 숨겨져 있는 서비스까지 검출가능 ( 적색으로 표시됨 )
=> 정지 및 사용금지 적용가능
6) SPI, BHO
: dll과 연관되어 서비스 인터페이스를 제공하는데, 네트워크 조작등의 인터페이스도 연관
되어 있다. ( 해당 내용에관한 지식이 부족하다면 손대지 않는것이 좋습니다. )
7) SSDT (System Service Descriptor Table)
: 시스템의 서비스 함수를 수정한 기록이 적색으로 표시된다.
=> 적색으로 리스팅 되더라도 정상적인 프로그램이 있으므로, 조치를 취할때는 신중하게
조치를 취하셔야 합니다. ( 백신 프로그램 및 보안프로그램도 적색으로 표시됨 )
8) Message Hook
: 키보드 및 마우스 입력값 표시 -> 검사만 가능
** 우선 가장 기본적으로 MBSA 는 써 보셔야 겠죠..;;
댓글
댓글 쓰기